Datenschutz und Privatheit in vernetzten …buchmann/11SS-Datenschutz/03-Anonymitaet… · IPD,...

KIT – Universität des Landes Baden-Württemberg undnationales Forschungszentrum in der Helmholtz-Gemeinschaft

IPD, Systeme der Informationsverwaltung, Nachwuchsgruppe „Privacy Awareness in Information Systems“

www.kit.edu

Datenschutz und Privatheit in vernetzten Informationssystemen

Kapitel 3: Anonymität und Anonymitätsmaße

Erik Buchmann (buchmann@kit.edu)

IPD, Nachwuchsgruppe „Privacy Awareness“2 Dr.-Ing. Erik Buchmann - Kapitel 3: Anonymitätsmaße

Inhalte und Lernziele dieses Kapitels

Quasi-Identifier

Anonymitätsmaßek-Anonymity

l-Diversity

t-Closeness

Differential Privacy

Abschluss

LernzieleSie können das Konzept des Quasi-Identifiers erklären und von Identifikatoren abgrenzen.

Ihnen sind die verschiedenen Anonymitätsmaße mit ihren Stärken und Schwächen vertraut.

www.kit.edu

Quasi-Identifikatoren und Verknüpfung mit korrelierendem Wissen

Motivation

Daten mit Personenbezug müssen oft Dritten zugänglich gemacht werden

Dienstverbesserung, z.B., Optimierung häufig genutzter Funktionen

Statistik, z.B. im Gesundheitswesen

Erfüllung von Gesetzesanforderungen

Forschung

Beispiel:Erforschung von Nebenwirkungen von Medikamenten benötigt Diagnosen, Gesundheitszustand und Therapie-Informationen aller Patienten

Wie Daten weitergeben, ohne...die Privatheit der Betroffenen zu gefährden oder

den Nutzwert der Daten einzuschränken?

Anonymisierung

BDSG §3(6)Anonymisieren ist das Verändern personenbezogener Daten derart, dass die Einzelangaben über persönliche oder sachliche Verhältnisse nicht mehr oder nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können.

Wann ist ein Datensatz anonym?

Name Geb. Geschl. PLZ Krankheit

Hans T. 19.04.75 M 76227 Impotenz

Peter T. 05.07.75 M 76228 Hodenkrebs

Klaus T. 17.01.75 M 76227 Sterilität

Jörg T. 23.04.81 M 76139 Schizophrenie

Uwe T. 30.12.81 M 76133 Diabetes

Melanie T. 05.07.83 W 76133 Magersucht

Inge T. 16.10.83 W 76131 Magersucht

Name Geb. Geschl. PLZ Krankheit

1 19.04.75 M 76227 Impotenz

2 05.07.75 M 76228 Hodenkrebs

3 17.01.75 M 76227 Sterilität

4 23.04.81 M 76139 Schizophrenie

5 30.12.81 M 76133 Diabetes

6 05.07.83 W 76133 Magersucht

7 16.10.83 W 76131 Magersucht

Sensibles AttributSchlüssel

Quasi-Identifier

Zwischen 63% und 87% der amerikanischen Bevölkerung eindeutig anhand der Attribute {Geburtsdatum, PLZ, Geschlecht} identifizierbar

Re-Identifikation durch Verknüpfung (linking) vonkorrelierendem Wissen

William Weld (ehem. Gov) lebt in Cambridge und ist Wähler,6 Personen haben seinen Geburtstag, 3 sind männlich, 1 in seiner PLZ

Korrelierendes Wissen

Pseudonymisierte Datenquelle

Quasi-Identifier

Gegeben seieinen Population aus Individuen U

eine personenspezifische Tabelle T(A1...An)

mit Attributen A1 bis An

außerdem fc: U → T und fg : T → U' mit U ⊆ U'

QT (ein Quasi-Identifier von T) besteht aus einem Set von Attributen (Ai...Aj) ⊆ (A1...An) für das gilt: pi U: fg ( fc ( pi )[QT] ) = pi

Definition Quasi-Identifier

www.kit.edu

k-Anonymität

Daten werde in einer Form preisgegeben, dass keine Rückschlüsse auf ein einzelnes Individuum gezogen werden können.

k Datensätze formen eine Äquivalenzklasse.

k-Anonymität schützt mit einer Konfidenz von 1/k vor einer ‚korrekten‘ Verknüpfung von korrelierendem Wissen.

Idee k-Anonymität

Gegeben seieine personenspezifische Tabelle eine personenspezifische Tabelle T(A1...An) mit Attributen A1 bis An

der dazugehörige Quasi-Identifier QT

Tabelle T ist k-anonym genau dann, wenn jede Sequenz von Werten aus T[QT] mindestens k mal in T[QT] vorkommt.

Jedes Tupel ist von k-1 anderen Tupeln (bis auf die sensiblen Attribute) nicht unterscheidbar.

Definition k-Anonymität

Wie k-Anonymität erreichen?

Rauschen hinzufügen

Dummy-Datensätze einfügen

Unterdrücken von Informationen, d.h., Tupel löschen

Daten vertauschen

Generalisierung der Daten Unser Fokus

k-Anonymität durch Generalisierung

Name Geb. Sex PLZ Krankheit

1 **.**.75 M 7622* Impotenz

2 **.**.75 M 7622* Hodenkrebs

3 **.**.75 M 7622* Sterilität

4 **.**.81 M 7613* Schizophrenie

5 **.**.81 M 7613* Diabetes

6 **.**.83 W 7613* Magersucht

7 **.**.83 W 7613* Magersucht

Beispiel einer genera-lisierten Tabelle für k=2

68259 68199 68766

male female

*PLZ Sex

22 28 24

20<X<=20

Kategorisches Attribut Binäres Attr. Numerisches Attr.

Probleme von k-Anonymität

Allgemeine Probleme beim Preisgeben von Datensätzen– Sortierungsbasierte Angriffe

(Unsorted Matching Attack)– Angriffe bei dynamischen Datenbeständen

(Temporal Attack)

Spezielle Probleme von k-Anonymität– Homogenitätsangriff– Anwendung von korrelierendem (Hintergrund-) Wissen

Unsorted Matching

Werden die generalisierten Tabellen GT1 und GT2 in gleicher Sortierung preisgegeben, kann der originale Datenbestand (PT) wieder hergestellt werden

Dynamische Datenbestände

Beispiel:

– Möglicher Angriff

• RT1 RTt

• RT1 ∩ RTt

• RT1 \ RTt

Vorgeschlagenes Verfahren berücksichtigt nicht den Zusammenhang von RT1 und RTt

RT0 RTt

InsertInsert

UpdateDelete

Release Table zum Zeitpunkt t

Homogenitätsangriff

Identifizierende Attribute sind generalisiert, es entstehen jedoch Gruppen mit identischen sensiblen Attributen [Mac06].

1 **.**.75 M 7622* Impotenz

2 **.**.75 M 7622* Hodenkrebs

3 **.**.75 M 7622* Sterilität

5 **.**.81 M 7613* Diabetes

6 **.**.83 W 7613* Magersucht

7 **.**.83 W 7613* Magersucht

Beispiel einer generalisierten Tabelle für k=2

Korrelierendes Wissen (Background Knowledge Attack)Zusatzwissen erlaubt beispielsweise durch Ausschlussverfahren die eindeutige Zuordnung zu einer Person.

1 **.**.75 M 7622* Impotenz

2 **.**.75 M 7622* Hodenkrebs

3 **.**.75 M 7622* Sterilität

5 **.**.81 M 7613* Diabetes

6 **.**.83 W 7613* Magersucht

7 **.**.83 W 7613* Magersucht

Beispiel einer generalisierten Tabelle für k=2

www.kit.edu

l-Diversity

Idee l-Diversity (*)

Hintergrundwissen als Wahrscheinlichkeitsfunktion über den Attributen modelliert.

Statistische Methoden (Bayesian Inference) zur Untersuchung auf Privatheit.

Prinzip: Die Differenz aus Vorwissen (prior belief) und Wissen nach der Publikation eines Datensatzes (posterior belief) soll möglichst gering sein.

(*) vorgestellt als Bayes-Optimal Privacy

Hintergrundwissen

Positive Preisgabe (positive disclosure)Die Veröffentlichung der Tabelle T* die aus T abgeleitet wurde resultiert in einer positiven Preisgabe, wenn der Angreifer den Wert eines sensiblen Attributes mit hoher Wahrscheinlichkeit bestimmten kann.

Negative Preisgabe (negative disclosure)Die Veröffentlichung der Tabelle T* die aus T abgeleitet wurde resultiert in einer negativen Preisgabe, wenn der Angreifer mit hoher Wahrscheinlichkeit ein sensibles Attribut ausschließen kann.

Hintergrundwissen

Positive PreisgabeWer 83 geboren wurde hat Magersucht

Negative PreisgabeWer 81 geboren wurde hat keine Magersucht, Impotenz, etc.

1 **.**.75 M 7622* Impotenz

2 **.**.75 M 7622* Hodenkrebs

3 **.**.75 M 7622* Sterilität

5 **.**.81 M 7613* Diabetes

6 **.**.83 W 7613* Magersucht

7 **.**.83 W 7613* Magersucht1

l-Diversity

Problem von Bayes-Optimal PrivacyNicht für jedes Attribut muss die Verteilung bekannt sein

Wissen des Angreifers ist unbekannt

Nicht jedes Wissen ist probabilistisch modellierbar

Zusammenschluss von Angreifern würde Modellierung jeder Kombination von Wissen erforderlich machen.

Pragmatischerer Ansatz: l-DiversityBasiert auf der vorgestellten Idee von Bayes-Optimal Privacy, umgeht jedoch die aufgezeigten Probleme

Prinzip von l-Diversity

Gegebeneine Tabelle T und die generalisierte Tabelle T*

ein Attribut q* als generalisierter Wert von q

ein q*-Block ist eine Menge von Tupeln aus T*, deren nicht-sensiblen Attribute zu q* generalisiert wurden

Ein q*-Block ist l-divers, wenn er mindestens l „wohl-repräsentierte“ Werte für das sensible Attribut S beinhaltet. Eine Tabelle ist l-divers, wenn jeder q*-Block l-divers ist.

Im Folgenden zwei konkrete Definitionen von „wohl-repräsentiert“

Entropy-l-Diversity

Definition Entropy-l-Diversity:eine Tabelle T und die generalisierte Tabelle T*

ein Attribut q* als generalisierter Wert von q

ein q*-Block ist eine Menge von Tupeln aus T*, deren nicht-sensiblen Attribute zu q* generalisiert wurden

Eine Tabelle ist Entropy-l-Diverse, wenn für jeden q*-Block gilt:

Kurzfassung:jeder q* Block besitzt mindestens l unterschiedliche sensiblen Werte

l ist minimales Maß der Unordnung in den Blöcken

∑∈

sqsq n

')'*,(

)*,()*,()log()log l(pP (q*,s)

Ss(q*,s) ≥− ∑

Beispiel Entropy-l-Diversity

1 **.**.75 M 7622* Impotenz

2 **.**.75 M 7622* Hodenkrebs

3 **.**.75 M 7622* Sterilität

5 **.**.81 M 7613* Diabetes

6 **.**.83 W 7613* Magersucht

7 **.**.83 W 7613* Magersucht

1 **.**.75 M 7622* Impotenz

2 **.**.75 M 7622* Hodenkrebs

3 **.**.75 M 7622* Sterilität

4 **.**.8* * 7613* Schizophrenie

5 **.**.8* * 7613* Diabetes

6 **.**.8* * 7613* Magersucht

7 **.**.8* * 7613* Magersucht

47.0)3

1log(*

1*3 =−

Beispiel einer generalisierten Tabelle für k=2 entropy-0-diversity

45.0)]4

2log(*

1log(*

2[ =+−

44.0)8.2log( =

Beispiel einer generalisierten Tabelle für k=2 entropy-2.8-diversity

Probleme von Entropy-l-Diversity

Es kann gezeigt werden, dass die Entropie der gesamten Tabelle mindestens log(l) sein muss.

Kommen wenige Attribute sehr häufig vor, ist diese Anforderung sehr restriktiv.

Beispiel: Eine Tabelle, die auch den Zustand „gesund“ speichert

Es ist schwierig eine Tabelle zu erstellen, die den Eigenschaften von Entropy-l-Diversity genügt.

Recursive (c,l)-Diversity

Ziel: häufige Werte sind nicht über-, seltene nicht unterrepräsentiert

Formale Definition Recursive (c,l)-Diversity:

ri ist die Häufigkeit, die der i-häufigste sensible Wert in einem q*-Block aufweist

gegeben eine Konstante c ist q*-Block (c,l)-Divers, wennr

1 < c(rl + rl+1 + … + rm)

T* ist (c,l)-divers, wenn jeder q*-Block recursive-(c,l)-divers ist

Daraus folgt, dass nach der Eliminierung eines sensiblen Wertes der q*-Block immernoch (c,l-1) divers ist.

Weitere Konzepte für l-Diversity

Positive Disclosure-Recursive (c.l)-DiversityErlaubt positive Preisgabe bestimmter weniger, z.B. nicht sensibler Attribute („gesund“)

Negative/Positive Disclosure-Recursive(c1,c2,l)-Diversity

Schutz vor negativer Preisgabe von Attributen

Erfüllt Positive Disclosure-Recursive (c,l)-Diversity

Vor negativer Preisgabe zu schützende Attribute müssen in mindestens c2% aller Tuper eines q*-Blocks vorkommen.

Multi-Attribute l-Diveristyfür mehrere sensible Attribute

Ausschluss eines sensiblen Attributes soll nicht zur Preisgabe der anderen sensiblen Attribute führen.

Bsp: {(q*, s1, v1), (q*, s1, v2),(q*, s2, v3), (q*, s3,v3)} Gilt für eine Person nicht s1 so gilt v3

Probleme von l-Diversity

Schwierig zu erreichen und unter Umständen unnötig

Nicht ausreichend, um vor der Preisgabe von Attributen zu schützenSkewness Attack

Similarity Attack

l-Diversity ist schwierig zu erreichen

BeispielNur ein sensibler Wert: Infiziert:={positiv, negativ}

10.000 Datensätze, 99% negativ, 1% positiv

Problem:Private Information nur negativ

2-diversity für eine Klasse die nur negative Tupel abbildet unnötig

Bei nur 1% positiver Tupel kann es nur 100 2-diverse Äquivalenzklassen geben → u.U hoher Informationsverlust

Skewness Attack

BeispielNur ein sensibler Wert Infiziert:={positiv, negativ}

10.000 Datensätze, 99% negativ, 1% positiv

A: Eine Äquivalenzklasse hat gleich viele positive wie negative Datensätze

B: Ein Äquivalenzklasse hat 49/1 positive und 1/49 negativen DS

Skewness AttackA: Jeder in dieser Klasse hätte zu 50% eine Infektion, auch wenn das im Kontrast zu dem originalen Datenbestand steht.

B: Obwohl deutlich unterschiedliche Privatheit ist die Diversity gleich.

→ l-Diversity berücksichtigt nicht dieGesamtverteilung von sensiblen Attributen

Similarity Attack

Sensible Attribute sind unterschiedlich, jedoch semantisch ähnlich

1 **.**.75 M 7622* Impotenz

2 **.**.75 M 7622* Hodenkrebs

3 **.**.75 M 7622* Sterilität

4 **.**.8* * 7613* Schizophrenie

5 **.**.8* * 7613* Diabetes

6 **.**.8* * 7613* Magersucht

7 **.**.8* * 7613* Magersucht

Beispiel einer generalisierten Tabelle für k=3 entropy-2(.8)-diversity mit ähnlichen Repräsentanten in einer Äquivalenzklasse

www.kit.edu

t-Closeness

Belief Wissen

Wissen eines potentiellen Angreifers

1) Initial

Geb. Sex PLZ Krankheit

**.**.** * ***** *

t-Closeness

**.**.** * ***** Impotenz

**.**.** * ***** Hodenkrebs

**.**.** * ***** Sterilität

**.**.** * ***** Schizophrenie

**.**.** * ***** Diabetes

**.**.** * ***** Magersucht

Eine große Differenz bedeutet viel neue Information bzw. Neues im Vergleich zu einer weit verbreiteten Annahme

Belief Wissen

Gesamtverteilung der sensiblen Werte Q

1) Initial2) Ohne Bezug auf die Person

t-Closeness

**.**.75 M 7622* Impotenz

**.**.75 M 7622* Hodenkrebs

**.**.75 M 7622* Sterilität

**.**.8* * 7613* Schizophrenie

**.**.8* * 7613* Diabetes

**.**.8* * 7613* Magersucht

1) Initial2) Ohne Bezug auf die Person3) Preisgabe der generalisierten Tabelle

Belief Wissen

Verteilung Pi der sensiblen

Werte in Äquivalenzklasse i

Eine große Differenz bedeutet viel neue Information bzw. Neues im Vergleich zu einer weit verbreiteten Annahme

t-Closeness

B0 – B1

Wissensgewinn über die gesamte Population

eine große Differenz bedeutet viele neue Informationen

B0 – B2

l-Diversity: Differenz zwischen B0 und B2 durch die Diversity-Anforderung an Population begrenzen

B1 – B2 t-Closeness: Informationen begrenzen, die über ein bestimmtes Individuum gelernt werden kann

Belief Wissen

Verteilung Pi der sensiblen Werte in der

Äquivalenzklasse i

Prinzip von t-Closeness

Eine Äquivalenzklasse hat t-Closeness, wenn der Abstand der Verteilung eines sensiblen Attributes innerhalb der betrachteten Klasse und der Verteilung des Attributes in der gesamten Tabelle kleiner einer Schranke t ist.

Eine Tabelle besitzt t-Closeness, wenn alle Äquivalenzklassen t-Closeness haben.

Wie messen wir den Abstand?

Abstandsmaße für t-Closeness

GegebenVerteilung P = {p1, p2, …, pm}

Verteilung Q = {q1, q2, …, qm}

MaßeVariational Distance:

Kullback-Leibler Distanz:

iii qpQPD

)log(],[1 j

ppQPD ∑

Sind das die richtigen Maße?

Problem von Variational und KL Distanz

Gegeben Q={3k, 4k, 5k, 6k, 7k, 8k, 9k, 10k, 11k}

zwei Einkommensverteilungen P

1={3k, 4k, 5k} und P

2={6k, 8k, 11k}

Intuitiv hätten wir gerneD[P1,Q] > D[P2,Q], da in P1 alle Elemente am unteren Ende sind→ Mehr Information wird preisgegeben

Die beiden Maße liefern das nicht, da alle Werte in P1 und P

unterschiedlich sind und kein semantischer Bezug hergestellt wird.

Lösungsansatz: Earth Mover‘s Distance

Earth Mover‘s Distance misst Distanz zwischen zwei Verteilungen in einer definierte Region

GegebenVerteilung P = {p1, p2, …, pm}

Verteilung Q = {q1, q2, …, qm}

dij: Die Ground Distance zwischen Element i aus P und Element j aus Q.

IdeeFinde einen Fluss F=[fij] bei dem fij der Fluss der Masse von Element i aus P zu Element j aus Q ist, der die gesamte Arbeit minimiert.

Definition

Earth Mover‘s Distanz

Idee (1D Fall)

Gegeben zwei Verteilungen V1 und V2

Fülle die nächstgelegenen Löcher

Work(f,i,j) = f * | i - j |;

f = Anzahl Werte

i,j die Werte

jij fdFQPWORKQPD ∑∑

),,(],[

1 2 3 4 5 6 7 8 9

Beispiel Earth Mover‘s Distance

1 2 3 4 5 6 7 8 9

0 0 0 0 0 0 0 0 0

Work = 0.1 * 3 = 0.3

Work(f,i,j) = f * | i - j |;

Beispiel Earth Mover‘s Distance

1 2 3 4 5 6 7 8 9

Work = 0,7 + 0.1 * 3 = 1

Work = 0,3 + 0.1 * 4 = 0.7

… 1 + 0,2 * 4 + 0,5 * 3 = 3,3Work(d,i,j) = f * | i - j |;

t-Closeness

Verwendung der Earth Mover‘s Distanz

basierend auf den Bedingungen

1≤ i ≤ m, 1 ≤ j ≤ m (c1)

1≤ i ≤ m (c2)

jij fdFQPWORKQPD ∑∑

),,(],[

0≥ijf

jiji qffp =+− ∑∑

1111 1

=== ∑∑∑∑=== =

jij qpf

t-Closeness

Sind die Distanzen dij normalisiert (0 ≤ dij ≤ 1), dann ist auch 0 ≤ D[P,Q] ≤ 1 unter den Bedingungen c1, c3

D.h., die Schranke t kann zwischen 0 und 1 gewählt werden.

GeneralisierungseigenschaftGegeben die Tabelle T und zwei Generalisierungen A und B, mit A stärker generalisiert als B. Erfüllt T t-closeness bzgl. A, dann auch bzgl. B

TeilmengeneigenschaftGegeben eine Tabelle T und eine Menge von Attributen C aus T. Erfüllt T t-closeness bzgl. C, dann erfüllt es dies auch bzgl. jede Teilmenge D.

t-Closeness

EMD für numerische Attribute

Sortierdistanz

EMD für kategorische Attribute

Äquivalenzdistanz

Hierarchische Distanz

−−=−

jivvdistordered jj

1),( =− ji vvdistequal

vvlevelvvdistalhierarchic jiji

),(),( =−

www.kit.edu

IPD, Nachwuchsgruppe „Privacy Awareness“50 Dr.-Ing. Erik Buchmann - Kapitel 1: Einführung

Idee: Wenn das hinzufügen/entfernen einer Person die Verteilung der Antworten (bzgl. einer Anfrage) nicht signifikant ändert, bleibt die Privatheit gewahrt.

Es gilt:Verteilung aller Attribute ist bekannt, d.h.Pr[E]: Eintrittswahrscheinlichkeit für Ereignis E ist bekannt

X: Datensatz einer Person

Zwei Datenbestände DB1 und DB

Eine Funktion K genügt der -differential privacy, wenn für alle DB1 und

DB2 und alle gilt:

DB2=DB1∪{X }

ϵS⊆Wertebereich(K )

Pr [K DB1∈S ]≤e∗Pr [K DB2∈S ]

Beispiel für Differential Privacy (1/2)

K ({x1 , .. , xn })=∣({x1 , .. , xn })∣+ Laplace (1/ϵ)

Anfrage: select count(*) from database where PAnzahl der Datensätze für die Prädikat P gilt

Anonymisierungsfunktion:Addiere auf Ergebnis einen zufälligen (Laplace verteilten) Wert mit Wahrscheinlichkeitsdichte (Schwerpunkt x)

Definition von K (n Tupel genügen P):

Є-differential privacy garantiert:Ändert sich der Schwerpunkt der Verteilung um höchstens 1, verändert sich das Ergebnis um (multiplikativ) um höchstens .

p (x)∝e(−∣x∣/ϵ)

e−ϵ

Beispiel für Differential Privacy (2/2)

Ergebnis „Count“ Anfrage an DB1: 107

Ergebnis „Count“ Anfrage an DB2: 108

Werte der Funktion K als Wahrscheinlichkeitsdichte:

definierte Maximaldifferenz

Differential Privacy - Diskussion

Formal nachweisbare Privatheitsgarantie für statistische DatenbankenStellt sicher und quantifiziert wie „groß“ das Risiko eines einzelnen bei der Veröffentlichung der Daten in einer statistischen Datenbank ist

Updates der Datenbank sind kein Datenschutzproblemjedenfalls solange sich Verteilung der Attribute nicht ändert

Nachteilefür komplexere Anfragen ist Nachweis schwierig

wie ist die Verteilung der Attribute im Anfrageergebnis über alle theoretisch möglichen Ergebnisse?

Grad der Verfälschung der Datenbank hängt von Gruppengröße c (in Form von ) und Komplexität der Anfrage ab

„Verteilung der Welt“ Pr(E) muss bekannt sein und darf sich nicht änderne(cϵ)

www.kit.edu

Abschluss*

* Vielen Dank an Stephan Kessler und Dietmar Hauf für ihre Aufarbeitung dieses Themas

Zusammenfassung

Anonymität: Entfernen von Identifikatoren zu wenig!Quasi-Identifier

mehrere verschiedene Anonymitätsmaße mit unterschiedlichen Eigenschaften

k-Anonymity

l-Diversity

t-Closeness

Angreif- Anwend- Daten-barkeit barkeit verfremdung

Literatur

[Swe02] Sweeney, L.: K-Anonymity: A Model for Protecting PrivacyUncertainty and Fuzziness in Knowledge.-Based Systems, 2002, 10

[Mac06] Machanavajjhala, A.; Gehrke, J.; Kifer, D. & Venkitasubramaniam, M.:l-Diversity: Privacy Beyond k-Anonymity, International Conference on Data Engineering, 2006

[LiN07] Li, N.; Li, T. und Venkatasubramanian, S.: t-Closeness: Privacy Beyond k-Anonymity and l-Diversity, International Conference on Data Engineering, 2007

[Dw06] Dwork, C.: Differential Privacy. International Colloquium on Automata, Languages and Programming, 2006

Datenschutz und Privatheit in vernetzten …buchmann/11SS-Datenschutz/03-Anonymitaet… · IPD,...

Documents

Transcript of Datenschutz und Privatheit in vernetzten …buchmann/11SS-Datenschutz/03-Anonymitaet… · IPD,...

Datenschutz und Informationsfreiheit · BERICHT des Berliner Beauftragten für Datenschutz und Informationsfreiheit zum 31. Dezember 2013 Der Berliner Beauftragte für Datenschutz

Leitfaden Datenschutz SAP ERP - DSAG · Leitfaden Datenschutz Stand Autor Seite für SAP-ERP 31.12.2013 AG Datenschutz 3 Einleitung Der vorliegende Leitfaden Datenschutz SAP ERP soll

DATENSCHUTZ §. Datenschutzrechtliche Regelungen DATENSCHUTZ § Grundgesetz Landesverfassung Bereichsspezifische Gesetze Bundesdatenschutz gesetz Datenschutzgesetz.

Android - Datenschutz und Einschränkungen · 2016. 6. 4. · Android - Datenschutz und Einschränkungen → Einstellungen. IOS – Datenschutz und Einschränkungen. Datenschutzeinstellungen

Datenschutz und Datensicherheit...Datenschutz und Datensicherheit SCHULUNGUNTERLAGEN Übersicht Terminologie Datenschutz Risikobewertungsschema Risiken Schadsoftware Phishing Spam

Wahrscheinlichkeitsrechnung und Statistik fur Biologen¨ 7 ...evol.bio.lmu.de/_statgen/StatBiol/11SS/intervallschaetzer_slides.pdf · 1 Konﬁdenzintervalle fur Erwartungswerte¨

Leitfaden Datenschutz und Datensicherheit in der …...Öffentlichkeit und Datenschutz Merkblatt Version vom 04.06.2020 Leitfaden Datenschutz und Datensicherheit in der Volksschule

Datenschutz im vernetzten Fahrzeug - ULD€¦ · Datenschutz im vernetzten Fahrzeug ... • Auswirkungen auf die Gesellschaft? Datenschutz im vernetzten Fahrzeug

EU-DATENSCHUTZ- GRUNDVERORDNUNG · DIE EU-DatEnSChUtZ-GRUnDVERORDnUnG / EINLEITUNG DIE EU-DatEnSChUtZ-GRUnDVERORDnUnG / EINLEITUNG 10 DER lanDESBEaUFtRaGtE FÜR DEn DATENSCHUTZ UnD

Der Datenschutz in der Kommunalverwaltung 2018€¦ · Datenschutz morgen: Anwendungsbereich Anwendungsbereich Der (sachliche) Anwendungsbereich der Datenschutz-Grundverordnung umfasst

Semantic Web und Identifikatoren

Hinweise zum Datenschutz - gesis.org · Hinweise zum Datenschutz Rechtlicher Rahmen und Maßnahmen zur datenschutz-gerechten Archivierung sozialwissenschaftlicher Forschungsdaten

Datenschutz Faktencheck

ITKwebcollege.DATENSCHUTZ€¦ · Datenschutz im Finanzbereich 7 Datenschutz im medizinischen Umfeld 7 Datenschutz im Onlineshop 7 Datenschutz im Umfeld von Minderjährigen 7 Datenschutz

MANAGEMENT DATENSCHUTZ DATENSCHUTZ Die größten … 2019. 8. 8. · Datenschutz-Mythen Im Mai 2018 traten die neuen Datenschutzregeln der Europäischen Union in Kraft. Die Datenschutz-Grundverordnung

Datenschutz - FAQ

Datenschutz ärztliche Schweigepflicht Vortrag im Rahmen ... · Überschrift Unterüberschrift Datenschutz und ärztliche Schweigepflicht Datenschutz & ärztliche Schweigepflicht

Einführung in die Datenschutz-Grundverordnung€¦ · Datenschutz- und Compliance-Services Wirkungen einer Vollharmonisierung rechtliche Einordnung / Auswirkungen auf deutsche Datenschutz-Normen

1. Allgemeines zum Datenschutz Datenschutz ist Schutz ...€¦ · 1. Allgemeines zum Datenschutz Datenschutz ist Schutz Ihres Grundrechts auf informationelle Selbstbestimmung. Für

TÄTIGKEITSBERICHT DATENSCHUTZ 2016/17 · TÄTIGKEITSBERICHT DATENSCHUTZ Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit 2016/17 26. Tätigkeitsbericht Datenschutz